(构建安全的.docVIP

构建安全的 ASP.NET 应用程序身份验证、授权和安全通信 第 3 章 — 身份验证和授权 J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy Microsoft Corporation 2002 年 10 月 有关构建安全的 ASP.NET 应用程序 的起点和完整概述，请参见登陆页面。 总结 本章提供指导信息，帮助您为您的特定应用程序方案制定合适的授权策略。还将帮助您选择最合适的身份验证和授权技术，并在应用程序正确的地方进行应用。 内容 设计身份验证和授权策略 授权方式 传递身份 基于角色授权 选择身份验证机制 总结 为分布式 Web 应用程序设计身份验证和授权策略是一项具有挑战性的任务。令人欣慰的是，在应用程序开发的早期阶段，正确设计身份验证和授权将有助于降低许多安全方面的主要风险。 本章将帮助您为应用程序设计合适的授权策略，还将帮助您解答下列关键问题： ● 应该在什么情况下执行授权，使用什么机制？ ● 应该使用什么身份验证机制？ ● 应该用 Active Directory? 目录服务来进行身份验证，还是应该对照自定义数据存储来验证凭据？ ● 使用异类和同类平台分别意味着什么？在设计上有哪些需要注意的地方？ ● 在应用程序中应该如何表示不使用 Microsoft? Windows? 操作系统的用户